Приказом Федерального агентства по техническому регулированию и метрологии создан новый технический комитет по стандартизации №167 "Программно-аппаратные комплексы для критической информационной инфраструктуры и программное обеспечение для них" (ТК 167).
"В рамках деятельности нового технического комитета запланированы работы в тесном сотрудничестве с действующими техническими комитетами по стандартизации, в том числе такими, как ТК 022 "Информационные технологии", ТК 480 "Связь" и ТК 159 "Программно-аппаратные средства технологий распределенного реестра и блокчейн", направленные на эффективное применение инструментов стандартизации в развитии отечественного программно-аппаратного комплекса и защите от киберугроз", - отметил руководитель Росстандарта Антон Шалаев.
Функции по ведению дел секретариата нового технического комитета по стандартизации возложены на АО "НПО "Критические информационные системы", а председателем назначен генеральный директор данной организации Алексей Титаренко. В состав технического комитета вошло более 20 участников, в том числе научно-исследовательские организации и образовательные учреждения (ФГБУ "ВНИИ Радиоэлектроники", ФГБУ ВО "МИРЭА - Российский технологический университет", НИЯУ "МИФИ", ФГБУ "46 ЦНИИ Минобороны России"), разработчики и производители электронного оборудования и электронной компонентной базы (ООО ПК "Аквариус", АО "Крафтвэй корпорэйшн ПЛС"), разработчики систем защиты от киберугроз (АО "Лаборатория Касперского", АО "ИнфоТеКС" и др.).
Директор по информационной безопасности "МойОфис" Александр Буравцов считает, что создание структуры подобного рода потенциально поможет конкретизировать вектор развития отечественного производства программно-аппаратной продукции. "Предполагается, что создание комитета благоприятно повлияет на скорость процесса импортозамещения в сфере программно-аппаратного и программного обеспечения, что, разумеется, немаловажно в текущий период времени, когда существует острая потребность в скорейшем внедрении российских решений на объектах КИИ, - пояснил он. - В настоящий момент отсутствие стандартизированных подходов к процедурам выбора ПАК в КИИ увеличивает сроки рассмотрения документации и материалов на оборудование, которое внедряется в ИТ-инфраструктуру объектов КИИ, а также усложняет подбор совместимого программного обеспечения".
Руководитель отдела консалтинга и аудита информационной безопасности Step Logic Алена Игнатьева напомнила, что в этому году принят ряд законодательных инициатив, направленных на ужесточение требований и ответственности за их невыполнение в сфере критической информационной инфраструктуры. "Состав участников комитета позволяет надеяться, что он станет активной площадкой для взаимодействия между представителями власти и реальными практикующими экспертами. В результате рынок получит прозрачные для всех его участников, однообразно толкуемые стандарты и рекомендации, что поможет не только поддерживать и развивать уровень информационной безопасности государства, но и избежать неоправданных выводов при судебных разбирательствах о нанесении ущерба критической информационной инфраструктуре. Стандарты позволяют разработчикам и потребителям говорить на одном языке. Учитывая, что речь идет о безопасности государства и уголовной ответственности как для заказчиков и разработчиков, так и для лиц, осуществляющих контроль, единые стандарты упростят выбор и реализацию защитных мер. Среди прочего, это также даст стимул к развитию начинающим командам, не имеющим достаточного количества специалистов со специфическими навыками разработки безопасной архитектуры", - сообщила она.
Ведущий консультант по информационной безопасности Aktiv.Consulting (компания "Актив") Александр Моисеев прокомментировал: "Несомненно, структура создана для поддержки реализации комплекса мероприятий указа президента РФ от 30 марта 2022 г. №166, который определил политику импортозамещения на значимых объектах КИИ до 2025 г. Катализатором данных процессов отчасти стал уход западных вендоров с российского рынка в этом году, прекращение технической поддержки и сервисного обслуживания оборудования. Результаты работы данной структуры будут востребованы в ближайшее время. Необходима не только координация работ по импортозамещению и обеспечению технологического суверенитета на межведомственном уровне, что регулируется постановлениями правительства и ведомственными приказами, но и системная работа по стандартизации на рынке такого рода ПАК и ПО - прежде всего для разработчиков и производителей, а также для проектировщиков и непосредственных эксплуатантов данного оборудования в составе значимых объектов КИИ. Необходимо решить большое количество технических и организационных вопросов, от выбора электрических параметров и протоколов взаимодействия до применяемых ИТ-технологий и степени доверия к их безопасности с точки зрения ИБ. Также стоит учесть аспекты промышленной и функциональной безопасности. Поэтому в состав ТК вошли представители ведущих организаций в сфере науки, техники и ИТ, а спектр рассматриваемых ими вопросов будет достаточно широкий".
Александр Моисеев рассказал, что стандарты для разработчиков ПО и ПАК - это прежде всего уточнение критериев и детализация требований по отнесению их продукции к той, которая обеспечивает импортозамещение. "На данный момент действует ряд постановлений правительства (№1236 от 16.11.2015, №719 от 17.07.2015, №878 от 10.07.2019), которые устанавливают требования к подтверждению производства и внесению сведений о продукции в специализированные реестры. Не исключено, что потребуется ряд дополнительных процедур. Для непосредственных потребителей данной продукции (субъекты КИИ) основные проблемы лежат в практической плоскости: необходимо в сжатые сроки спланировать и обеспечить замену импортного оборудования и ПО. Для этого им необходимо выбрать аналоги, разработать проектную документацию и провести ее оценку в экспертных организациях, далее соблюсти все закупочные процедуры в соответствии с федеральными законами, осуществить приемку и входной контроль поставляемых ПАК, их ПНР, ввод в эксплуатацию и сервисную поддержку. Предприятий десятки тысяч - для контролируемости процесса импортозамещения на них необходимо разрабатывать единые подходы и стандарты", - уверен он.
Критическая информационная инфраструктура (КИИ) - это информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, а также сети электросвязи, используемые для организации взаимодействия субъектов критической информационной инфраструктуры. Субъекты КИИ - это компании, работающие в стратегически важных для государства областях, таких как здравоохранение, наука, транспорт, связь, энергетика, банковская сфера, топливно-энергетический комплекс, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, а также организации, обеспечивающие взаимодействие систем или сетей критической информационной инфраструктуры.
С 1 января 2018 г. вступил в силу Федеральный закон №187-ФЗ "О безопасности критической информационной инфраструктуры РФ", который накладывает ряд обязанностей на организации и учреждения, являющиеся субъектами критической инфраструктуры. В целях реализации положения законодательства необходимо проведение работ по созданию, производству и сервисному обслуживанию программно-аппаратных комплексов для критической информационной инфраструктуры как наиболее уязвимых объектов системы.
Юлия Мельникова